Implementando a ISO 27001 em uma organização financeira, é essencial considerar todos os aspectos da segurança da informação. Esta norma internacional estabelece requisitos para um sistema de gestão da segurança da informação (SGSI). A diretoria quer saber qual dos seguintes elementos não é uma exigência da ISO 27001.

Alternativa D - Estratégias de marketing digital

A norma ISO 27001 é focada exclusivamente na gestão da segurança da informação, não em estratégias comerciais ou de vendas. Ela estabelece os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), garantindo a confidencialidade, integridade e disponibilidade dos dados.

Análise das Alternativas

Para identificar o elemento que não é exigência, devemos verificar a relação de cada item com a segurança da informação:

• A) Avaliação de riscos: É fundamental. A norma exige que a organização identifique e avalie os riscos à segurança da informação (Cláusula 6.1).
• B) Políticas de segurança: São obrigatórias. A direção deve estabelecer políticas que definam os objetivos e diretrizes de segurança (Cláusula 5.2).
• C) Medidas de segurança física: Faz parte do escopo. O Anexo A inclui controles específicos para proteção física e ambiental dos ativos de informação.
• D) Estratégias de marketing digital: Não se relaciona com segurança. Embora uma empresa possa fazer marketing, isso não é um requisito de implementação do SGSI nem está coberto pela norma.
• E) Controles de acesso: São essenciais. A norma exige controles rigorosos para garantir que apenas pessoas autorizadas tenham acesso às informações (Anexo A.9).

Conclusão

A alternativa D é a correta porque o marketing digital é uma área de negócio voltada para promoção e vendas, enquanto a ISO 27001 é uma norma técnica dedicada à proteção de dados e ativos de informação.